// 自定义中间件来检查 Referer 头
// 禁止非同源网站访问非iframe页面外的页面

module.exports = function (req, res, next) {
  if (!req.path.startsWith('/iframe')) {
    // 获取 Referer 头部信息
    const referer = req.get('Referer') || '';

    // 检查 Referer 或 Origin 头部是否符合外部请求的条件
    // 例如：检查是否包含特定的域名，或者是否为空（表示来自外部的请求）
    const isIframeRequest = referer && !referer.startsWith('http://localhost') && !referer.startsWith('http://127.0.0.1');

    if (isIframeRequest) {
      // 拒绝请求
      res.status(403).send('Access denied');
      return;
    }
  }
  next();
}